กฎและข้อบังคับของ VoIP: ผู้ให้บริการของคุณสอดคล้องกับอุตสาหกรรมของคุณหรือไม่?

ลองนึกภาพว่าคุณกำลังดูการแสดงนิยายวิทยาศาสตร์ในปี 1970 คุณเห็นแพทย์วินิจฉัยผู้ป่วยโดยจัดการกับหุ่นยนต์จากโลกที่ห่างไกล คุณเห็นผู้บริโภคพูดคุยกับตัวแทนฝ่ายบริการลูกค้าบนหน้าจอเพื่อให้คำแนะนำในการซื้อสินค้าส่วนบุคคล คุณเห็นรายงานอยู่ในแผ่นเล็ก ๆ ที่รักษาความปลอดภัยด้วยลายนิ้วมือ คุณเห็นรถบินได้ซึ่งขับเคลื่อนด้วยนิวเคลียร์ นอกเหนือจากอันที่แล้ว เราเกือบจะอยู่ที่นั่นด้วย VoIP และเทคโนโลยีคลาวด์ที่ทันสมัย

การ์ตูนและการแสดงที่มีสัตว์ประหลาดยางตัวใหญ่แสดงให้เห็นว่าเทคโนโลยีเหล่านั้นถูกนำมาใช้เพื่อประโยชน์เท่านั้น

แต่ในโลกแห่งความเป็นจริง มีความเสี่ยงและกฎระเบียบที่แท้จริงในการลดความเสี่ยงเหล่านั้น ข้อมูลที่มีค่าจะต้องส่งผ่านสายเคเบิลและเซิร์ฟเวอร์เหล่านั้นทุกวินาที และบางภาคส่วนมีกฎพิเศษที่พัฒนาขึ้นเมื่อเวลาผ่านไปเพื่อปรับให้เข้ากับเทคโนโลยีขั้นสูง ต่อไปนี้คือรายการของมาตรฐานการควบคุมบางส่วนที่คุณน่าจะต้องการทำความคุ้นเคยเมื่อพูดถึง VoIP ของคุณและเครือข่ายข้อมูลอื่นๆ

หมายเหตุ: เราครอบคลุมเฉพาะข้อบังคับที่เกี่ยวข้องกับการสื่อสารทางอิเล็กทรอนิกส์ และการจัดเก็บข้อมูลดิจิทัลหรือข้อมูลส่วนบุคคล

1. CPNI

- มันคืออะไร?
ข้อมูลเครือข่ายที่เป็นกรรมสิทธิ์ของลูกค้า คือข้อมูลที่ผู้ให้บริการโทรคมนาคมรวบรวมเกี่ยวกับสมาชิกของตน โดยเฉพาะอย่างยิ่ง จะเชื่อมโยงประเภทของบริการที่สมาชิกใช้ จำนวนที่ใช้ และประเภทเข้าด้วยกัน ตัวอย่างเช่น ผู้ให้บริการระบบไร้สายสามารถติดตามความถี่ที่คุณใช้โทรศัพท์ของคุณ และคุณใช้สำหรับทั้งเครือข่ายสังคมออนไลน์และการโทร ข้อมูลควรถูกเก็บไว้เป็นส่วนตัว แต่ถ้าลูกค้าเลือกไม่รับเท่านั้น หากลูกค้าไม่เลือกไม่รับ ผู้ให้บริการสามารถส่งต่อข้อมูลดังกล่าวไปยังนักการตลาดเพื่อขายบริการอื่นๆ ได้ ตราบใดที่ลูกค้าได้รับแจ้ง หากคุณออกจากผู้ให้บริการรายอื่น บริษัทไม่ได้รับอนุญาตให้ใช้ CPNI เพื่อพยายามเรียกคุณกลับคืนมา หากคุณต้องการยกเลิก CPNI คุณสามารถ Google “ยกเลิก CPNI (ชื่อผู้ให้บริการของคุณ)” และทำตามคำแนะนำที่คุณพบ

- ใครได้รับผลกระทบ?
ผู้ให้บริการโทรคมนาคมรายใดอยู่ภายใต้ข้อจำกัด CPNI แต่จำนวนข้อมูลที่ผู้ให้บริการแต่ละรายมีอยู่ ดังนั้นความเสี่ยงในการส่งต่อข้อมูล (ไม่ว่าจะโดยชอบด้วยกฎหมายหรืออย่างอื่น) ขึ้นอยู่กับประเภทของบริการที่มีให้ บริษัทเคเบิล บริษัทโทรศัพท์ และผู้ให้บริการไร้สายกำลังเปลี่ยนแทนกันได้มากขึ้นในปัจจุบัน เนื่องจากเราโทรจากผู้ให้บริการอินเทอร์เน็ต และใช้โทรศัพท์ของเราในการเข้าถึงอินเทอร์เน็ต ข้อมูลทั้งหมดนี้อาจมีให้สำหรับ ISP ของคุณ ในปี 2550 FCC ได้ขยายการใช้กฎ CPNI ของคณะกรรมาธิการแห่งพระราชบัญญัติโทรคมนาคมปี 2539 อย่างชัดเจนไปยังผู้ให้บริการ VoIP ที่เชื่อมต่อถึงกัน น่าแปลกที่ข้อมูลเดียวกันที่สามารถส่งต่อไปยังบริษัทการตลาดที่มีข้อจำกัดน้อยที่สุดนั้นจำเป็นต้องมีหมายจับสำหรับหน่วยงานบังคับใช้กฎหมายในการเข้าถึง

– ความเสี่ยงคืออะไร?
ในปี 2558 AT&T ได้ตกลงกับ FCC สำหรับค่าปรับเป็นประวัติการณ์ 25 ล้านดอลลาร์หลังจาก 280,000 ชื่อและ SSN ทั้งหมดหรือบางส่วนถูกเข้าถึงโดยไม่ได้รับอนุญาต จากข้อมูลของ FCC พนักงานที่ศูนย์บริการข้อมูลของ AT&T ในเม็กซิโก โคลอมเบีย และฟิลิปปินส์ ได้เข้าถึงข้อมูลดังกล่าวในขณะที่ปลดล็อกโทรศัพท์มือถืออย่างถูกกฎหมาย แต่จากนั้นก็ส่งต่อข้อมูลนั้นไปยังบุคคลที่สามเพื่อปลดล็อกโทรศัพท์มือถือที่ถูกขโมย นี่เป็นข้อตกลงที่ใหญ่ที่สุดสำหรับการดำเนินการด้านความปลอดภัยของข้อมูล ใหญ่เป็นอันดับสองคือ Verizon Wireless ซึ่งต้องจ่าย 7.4 ล้านดอลลาร์ในปี 2557 หลังจากล้มเหลวในการแจ้งลูกค้าสองล้านรายว่าใช้ข้อมูลของพวกเขาเพื่อดำเนินการแคมเปญการตลาดหลายพันครั้ง

2. COPPA

- มันคืออะไร?
พระราชบัญญัติคุ้มครองความเป็นส่วนตัวทางออนไลน์ของเด็ก พ.ศ. 2541 ห้ามมิให้มีการทำการตลาดแบบหลอกลวงต่อเด็ก หรือการรวบรวมข้อมูลส่วนบุคคลโดยไม่เปิดเผยต่อผู้ปกครอง การพิจารณาคดีมีผลบังคับใช้ในปี 2543 และได้รับการแก้ไขในปี 2554 เพื่อกำหนดให้ข้อมูลที่รวบรวมถูกลบหลังจากช่วงเวลาหนึ่ง และว่าหากมีการส่งต่อข้อมูลใด ๆ ไปยังบุคคลที่สาม ผู้ปกครองของเด็กจะต้องง่าย ปกป้องข้อมูลนั้น ข้อมูลส่วนบุคคล ในกรณีนี้อาจเป็นชื่อเด็ก ที่อยู่จริงหรือที่อยู่ IP ชื่อผู้ใช้/ชื่อหน้าจอ หมายเลขประกันสังคม และรูปถ่าย บริษัทไม่ได้รับอนุญาตให้แจ้งให้เด็กส่งข้อมูลนั้น

- ใครได้รับผลกระทบ?
COPPA บังคับใช้โดย FTC กฎของ COPPA ใช้กับผู้ให้บริการเว็บไซต์หรือผู้ให้บริการออนไลน์ใดๆ ที่รวบรวมข้อมูลเกี่ยวกับผู้ใช้ที่ทราบว่าอายุต่ำกว่า 13 ปี องค์กรที่ไม่แสวงหาผลกำไรจะได้รับการยกเว้นจาก COPPA ในบางสถานการณ์ ในปี 2014 FTC ได้ออกแนวทางปฏิบัติที่แอพและร้านแอพต้องการ “คำยินยอมจากผู้ปกครองที่ตรวจสอบได้” กฎเกี่ยวกับหมายเลขบัตรเครดิตได้รับการแก้ไขโดยระบุว่าการซื้อ (เช่นการใช้จ่ายเงิน) ไม่จำเป็นต้องตรวจสอบหมายเลขบัตรเครดิต แต่หมายเลขบัตรเครดิตเพียงอย่างเดียวไม่ใช่หลักฐานการยินยอมของผู้ปกครองและต้องใช้ใน ร่วมกับมาตรการอื่นๆ เช่น คำถามลับ

– ความเสี่ยงคืออะไร?
Xanga แพลตฟอร์มบล็อกออนไลน์และโซเชียลเน็ตเวิร์ก จ่ายเงินก้อนใหญ่ที่สุด 1 ล้านดอลลาร์ในปี 2549 ฐานละเมิดความเป็นส่วนตัวออนไลน์ของเด็กโดยไม่เปิดเผย Xanga ไม่ควรสับสนกับ Zynga บริษัทที่อยู่เบื้องหลัง FarmVille และเกม cow-clicker อื่นๆ เกมอย่าง Candy Crush และ Pet Rescue ตกอยู่ในอาณาเขตที่ไม่ชัดเจน เนื่องจากเป็นเกมที่โฮสต์โดย Facebook และในทางทฤษฎีแล้ว Facebook อย่างน้อยก็จำกัดเฉพาะมนุษย์ที่มีอายุ 13 ปีขึ้นไป ผู้สนับสนุนด้านความเป็นส่วนตัวและกลุ่มคุ้มครองผู้บริโภคจำนวนมากเรียกร้องให้มีกฎเกณฑ์ที่เข้มงวดกว่านี้ แอพ

The Topps Company บริษัทแม่ของ Ring Pops ได้รับความโกรธแค้นจากกลุ่มความเป็นส่วนตัวสำหรับแคมเปญโซเชียลมีเดีย “#RockThatRock” โดยกล่าวว่ามันถูกวางตลาดสำหรับเด็กอายุต่ำกว่า 13 ปี และหลายคนยังบ่นว่ารูปภาพจำนวนมากโพสต์ทางเพศก่อน วัยรุ่น. ในขณะที่เขียนนี้พวกเขายังไม่ถูกปรับ

3. HIPAA

- มันคืออะไร?
พระราชบัญญัติการเคลื่อนย้ายและความรับผิดชอบในการประกันสุขภาพ มีขึ้นตั้งแต่ปี 2539 และหัวข้อ II กำหนดกฎเกณฑ์สำหรับธุรกรรมการดูแลสุขภาพทางอิเล็กทรอนิกส์โดยเฉพาะ กล่าวคือ ข้อมูลใดๆ เกี่ยวกับสุขภาพของคุณที่จัดเก็บแบบดิจิทัลอยู่ภายใต้กฎความเป็นส่วนตัวที่เข้มงวด เช่นเดียวกับที่คุณมีการรักษาความลับ NDA ของแพทย์และผู้ป่วย ข้อมูลของคุณก็จะเป็นความลับเช่นกัน และสามารถแบ่งปันได้เมื่อได้รับอนุญาตจากคุณหรือตามคำสั่งของผู้พิพากษาเท่านั้น

- ใครได้รับผลกระทบ?
นิติบุคคลใด ๆ ที่อยู่ภายใต้ HIPAA ตามข้อมูลของ Health and Human Services อาจเป็นผู้ให้บริการด้านสุขภาพ (แพทย์ ทันตแพทย์ ร้านขายยา) แผนสุขภาพ (การประกันภัย HMO Medicare Medicaid The VA) หรือสำนักหักบัญชีด้านการดูแลสุขภาพ (หน่วยงานของรัฐหรือเอกชนที่ ใช้ข้อมูลที่มีศัพท์เฉพาะทางอุตสาหกรรมและทำให้คนธรรมดาอ่านได้ง่ายขึ้น)

– ผู้ป่วยต้องได้รับการปกป้องอย่างไร?
มีการป้องกันทางการบริหาร ทางกายภาพ และทางเทคนิคเพื่อป้องกันการละเมิด การปกป้องดูแลระบบคือสิ่งที่ต้องการ/จำกัดการเข้าถึงพนักงานที่ต้องการ/ไม่ต้องการการเข้าถึงข้อมูล ตรวจสอบให้แน่ใจว่ารหัสผ่านถูกเปลี่ยนเป็นประจำ และมีนโยบายเป็นลายลักษณ์อักษรเฉพาะเกี่ยวกับความประพฤติของพนักงาน การป้องกันทางกายภาพหมายถึงการเข้าถึงอุปกรณ์และสถานที่ต่างๆ ด้วยตนเอง และรวมถึงสิ่งต่างๆ เช่น ล็อคและสัญญาณเตือนที่ปลอดภัย เจ้าหน้าที่รักษาความปลอดภัยและกล้อง และการรู้วิธีทิ้งไดรฟ์เก่าอย่างปลอดภัย การป้องกันทางเทคนิคหมายถึงการเข้าสู่ระบบและออกจากเวิร์กสเตชัน การติดตามกิจกรรมของผู้ใช้ และการเข้ารหัสข้อมูลที่ปลอดภัย

– ความเสี่ยงคืออะไร?
หากข้อมูลถูกละเมิด หน่วยงานที่ได้รับผลกระทบต้องแจ้งบุคคลที่มีข้อมูลรั่วไหลผ่านอีเมลหรือจดหมายชั้นหนึ่ง ในกรณีของการละเมิดที่ใหญ่ขึ้น หากเหตุการณ์ใดส่งผลกระทบต่อบุคคลมากกว่า 500 คน พวกเขาจะต้องแจ้ง “สื่อที่มีชื่อเสียง” และเลขานุการของ HHS คุณสามารถดูรายการการละเมิดข้อมูลที่รายงานทั้งหมดที่มีผลกระทบต่อผู้คนกว่า 500 คนได้ที่นี่ คุณสามารถยื่นคำร้องเรียนให้กับ HHS เพื่อตรวจสอบว่าคุณหรือคนที่คุณรู้จักมีการละเมิดความเป็นส่วนตัวทางไปรษณีย์ โทรสาร หรืออีเมลหรือไม่

การละเมิด HIPAA อาจนำไปสู่ค่าปรับจำนวนมากหรือการลงโทษทางอาญา ในปี 2014 HHS ทิ้งค้อนลงในโรงพยาบาล New York-Presbyterian Hospital และ Columbia University Medical Center หลังจากที่ข้อมูลเกี่ยวกับผู้ป่วย 6,800 รายพร้อมใช้งานสำหรับเครื่องมือค้นหาสาธารณะ โรงพยาบาลทั้งสองแห่งถูกตีด้วยค่าปรับรวมกัน 4.8 ล้านดอลลาร์

4. SOX

- มันคืออะไร?
พระราชบัญญัติ Sarbanes-Oxley Act ปี 2545 สร้างขึ้นหลังจากเหตุการณ์ชนกันในปี 2545 เพื่อป้องกันกิจกรรมทางการเงินที่ชั่วร้าย บริษัทใดๆ ที่มีการซื้อขายในตลาดหลักทรัพย์จะต้องอยู่ภายใต้ SOX มาตรา 404 ของ SOX กำหนดให้บริษัทต่างๆ เผยแพร่ข้อมูลเกี่ยวกับโครงสร้างการควบคุมภายในและความถูกต้องของข้อมูลทางการเงิน

ในการอ้างบิลเอง ก.ล.ต. กำหนดให้บริษัทต่างๆ ป้องกันหรือตรวจจับในเวลาที่เหมาะสม "การตรวจจับการได้มา ใช้ หรือจำหน่ายทรัพย์สินของผู้ออกโดยไม่ได้รับอนุญาตที่อาจมีผลกระทบอย่างมีนัยสำคัญต่องบการเงิน"

- ใครได้รับผลกระทบ?
บริษัทใดๆ ที่มีการซื้อขายในตลาดหลักทรัพย์จะต้องอยู่ภายใต้ SOX มาตรา 404 ของ SOX กำหนดให้บริษัทต่างๆ เผยแพร่ข้อมูลเกี่ยวกับโครงสร้างการควบคุมภายในและความถูกต้องของข้อมูลทางการเงิน

Sarbanes-Oxley ไม่ได้สร้างความแตกต่างระหว่างสินทรัพย์ที่มีตัวตนและไม่มีตัวตน ซึ่งหมายความว่าบริษัทต่างๆ จะต้องให้ความสำคัญกับแผนธุรกิจในอนาคต ผลิตภัณฑ์ที่ยังไม่ได้ประกาศซึ่งยังอยู่ในขั้นตอนการทดสอบ และสิ่งใดก็ตามที่ถือเป็นความลับทางการค้าได้ บริษัทยังต้องปกป้องตนเองจากอดีตพนักงานที่นำความลับทางการค้าไปใช้กับพวกเขา และแม้กระทั่งจากการได้รับความลับทางการค้าจากอดีตพนักงานของคู่แข่ง

– ความเสี่ยงคืออะไร?
บริษัทใดๆ ที่อยู่ภายใต้ SOX จะต้องได้รับการตรวจสอบข้อมูลโดยบุคคลที่สามที่เชื่อถือได้ นี่เป็นข้อมูลที่ละเอียดอ่อนซึ่งกำลังส่งและจัดเก็บ ผู้ตรวจสอบและบริษัทต่างๆ ต้องใช้ความระมัดระวังอย่างเต็มที่เพื่อให้แน่ใจว่าข้อมูลของพวกเขาจะปลอดภัย ไม่ต้องมองหาที่ไหนไกลไปกว่าหัวข้อข่าวของเมื่อวานที่จะได้ยินเกี่ยวกับเอกสารของบริษัทที่รั่วไหล และก่อให้เกิดความอับอายไม่น้อย นักลงทุนสูญเสียความมั่นใจ สูญเสียธุรกิจ และบางครั้งถูกปรับหรือบทลงโทษทางอาญา แนวทางปฏิบัติที่ดีที่สุดคือต้องลงนามใน NDA เพื่อดำเนินการสัมภาษณ์ที่รวบรวมข้อมูลเกี่ยวกับบุคคลที่มีข้อมูลและกำหนดแนวโน้มที่ข้อมูลจะตกไปอยู่ในมือของผู้ไม่ประสงค์ดี และเพื่อรักษาบันทึกที่เข้มงวดของผู้มีสิทธิ์เข้าถึงข้อมูลตามกฎหมายและผู้ที่ไม่ได้เข้าถึงข้อมูล

5. พระราชบัญญัติคุ้มครองผู้บริโภคทางโทรศัพท์ / ห้ามเรียกทะเบียนแห่งชาติ

- มันคืออะไร?
พระราชบัญญัติคุ้มครองผู้ใช้โทรศัพท์ พ.ศ. 2534 จำกัดการใช้ระบบโรโบคอล โปรแกรมโทรออกอัตโนมัติ และวิธีการสื่อสารอื่นๆ Federal Communications Commission ปล่อยให้แต่ละบริษัทสร้างรายการ Do Not Call ของตนเอง ดังนั้นจึงเป็นความล้มเหลวครั้งใหญ่ จนกระทั่งปี 2003 National Do Not Call Registry ได้รับการจัดตั้งขึ้นอย่างเป็นทางการโดย Federal Trade Commission โดยเป็นส่วนหนึ่งของกฎหมาย Do-Not-Call Implementation Act ปี 2003 ศูนย์การติดต่อ VoIP หลายแห่งใช้คำย่อ TCPA เมื่อพูดถึงการปฏิบัติตามข้อกำหนด ชาติอย่าโทร Registry.

มันส่งผลกระทบต่อใคร? ตาม FTC หากธุรกิจมีความสัมพันธ์ที่มั่นคงกับลูกค้า จะสามารถโทรหาพวกเขาต่อไปได้นานถึง 18 เดือน หากผู้บริโภคโทรหาบริษัทเพื่อขอข้อมูลเกี่ยวกับผลิตภัณฑ์หรือบริการ บริษัทมีเวลาสามเดือนในการติดต่อกลับ ในทั้งสองกรณีที่ผมเพิ่งพูดถึงไป ถ้าลูกค้าขอไม่รับสาย บริษัทต้องหยุดรับสายหรือถูกปรับ

การโทรประเภทต่อไปนี้ได้รับการยกเว้น ยกเว้นการร้องเรียนเฉพาะจาก Do Not Call Registry:

• การโทรจากองค์กร B ที่ไม่หวังผลกำไร องค์กรไม่แสวงหากำไรทั้งหมดไม่ได้รับการยกเว้นโดยอัตโนมัติ
• ข้อความให้ข้อมูลบางประเภทแต่ไม่ใช่ข้อความส่งเสริมการขาย (เช่น การยกเลิกเที่ยวบินได้รับการยกเว้น การขายตั๋วเครื่องบินไม่ได้รับการยกเว้น)
• เรียกร้องให้ลงคะแนนเลือกผู้สมัครทางการเมือง
• ขอรับบริจาคเพื่อการกุศล.
• โทรไปที่ธุรกิจ แม้แต่การโทรเย็นเพื่อกระตุ้นยอดขาย
• การโทรจากผู้ทวงหนี้ แต่ผู้ทวงหนี้มีกฎหมายของตนเองว่าสามารถโทรหาใครและเมื่อใด

– ความเสี่ยงคืออะไร?
ค่าปรับสูงสุดสำหรับการโทรหาใครบางคนใน DNCR คือ 16,000 เหรียญ การใส่โทรศัพท์ของคุณในรีจิสทรีทำได้ง่ายเพียงแค่เข้าไปที่เว็บไซต์ donotcall.gov หรือโทร 1-888-382-1222 จากโทรศัพท์ที่คุณต้องการในรายการ แม้ว่าคุณอาจอ่านอีเมลหรือโพสต์ในโซเชียลมีเดียแล้วในทางตรงกันข้าม แต่เมื่อตัวเลขนั้นอยู่ในรายการ ตัวเลขนั้นก็จะอยู่ในรายการตลอดไป เว้นแต่จะถูกลบออกอย่างแข็งขัน โทรศัพท์มือถือทั้งหมดอยู่ในรายการโดยค่าเริ่มต้น ในการเขียนนี้ ไม่มีการลงทะเบียน "ห้ามส่งข้อความ" และสิ่งที่เรียกว่า "แฟกซ์ขยะ" ต้องอยู่ภายใต้ข้อบังคับของตนเอง

6. กฎหมายว่าด้วยความเป็นส่วนตัวและความปลอดภัย

- มันคืออะไร?
เพื่อตอบสนองต่อความกังวลที่เพิ่มขึ้นของการโจรกรรมข้อมูลประจำตัวและการเติบโตของความสามารถทางเทคโนโลยีของโลกในการจัดเก็บ สื่อสาร และคำนวณข้อมูล พระราชบัญญัติความเป็นส่วนตัวและความปลอดภัยของข้อมูลส่วนบุคคลของปี 2552 ได้เพิ่มบทลงโทษสำหรับการขโมยข้อมูลประจำตัวบางประเภทและการแฮ็กคอมพิวเตอร์

- ใครได้รับผลกระทบ?
กำหนดข้อกำหนดสำหรับโปรแกรมความเป็นส่วนตัวและความปลอดภัยของข้อมูลส่วนบุคคลในองค์กรธุรกิจที่เก็บรักษาข้อมูลส่วนบุคคลที่สามารถระบุตัวตนที่ละเอียดอ่อนได้ในรูปแบบอิเล็กทรอนิกส์หรือดิจิทัลสำหรับบุคคลในสหรัฐอเมริกา 10,000 คนขึ้นไป ผู้ให้บริการ VoIP จำนวนมากมีลูกค้ามากกว่า 100,000 ราย มีโอกาสดีที่ผู้ให้บริการ VoIP ที่คุณเลือกจะมีข้อกำหนดนี้ กฎเกณฑ์นี้ยังใช้กับนายหน้าข้อมูลระหว่างรัฐที่มีข้อมูลเกี่ยวกับผู้คนมากกว่า 5,000 คน แต่ผู้ให้บริการ VoIP ไม่ถือว่าเป็นนายหน้าข้อมูล

– ความเสี่ยงคืออะไร?
ผู้กระทำความผิดซึ่งตั้งใจเข้าถึงคอมพิวเตอร์โดยไม่ได้รับอนุญาตอาจถูกตั้งข้อหาฉ้อโกง แต่สำหรับบริษัทที่ตกเป็นเหยื่อของการโจมตีครั้งนี้ การจงใจปกปิดการละเมิดความปลอดภัยของ “ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนที่ละเอียดอ่อน” ได้ อาจนำไปสู่การถูกปรับและ/หรือจำคุกห้าปี ซึ่งครอบคลุมชื่อเหยื่อ หมายเลขประกันสังคม ที่อยู่บ้าน ข้อมูลลายนิ้วมือ/ไบโอเมตริก วันเกิด และหมายเลขบัญชีธนาคาร

บริษัทใดๆ ที่ถูกละเมิดจะต้องแจ้งให้บุคคลที่ได้รับผลกระทบทราบทางไปรษณีย์ โทรศัพท์ หรืออีเมล และข้อความจะต้องมีข้อมูลเกี่ยวกับบริษัทและวิธีการติดต่อกับหน่วยงานรายงานเครดิต (เช่น เพื่อขอความช่วยเหลือในการแก้ไขเครดิต) นอกจากนี้ยังต้องรายงานการละเมิดต่อหน่วยงานที่รายงานผู้บริโภค การละเมิดจะต้องรายงานไปยังสื่อหลัก ๆ หากมีบุคคลที่ได้รับผลกระทบมากกว่า 5,000 คนอยู่ในรัฐเดียว

บริษัทยังต้องติดต่อหน่วยสืบราชการลับภายในสิบสี่วันหากมีสิ่งใดสิ่งหนึ่งดังต่อไปนี้เกิดขึ้น: ฐานข้อมูลมีข้อมูลเกี่ยวกับบุคคลมากกว่าหนึ่งล้านคน การละเมิดส่งผลกระทบต่อบุคคลมากกว่า 10,000 คน ฐานข้อมูลเป็นฐานข้อมูลของรัฐบาลกลาง การละเมิดส่งผลกระทบต่อบุคคลที่ทราบว่าเป็นพนักงานของรัฐหรือผู้รับเหมาที่เกี่ยวข้องกับความมั่นคงของชาติหรือการบังคับใช้กฎหมาย ข้อมูลดังกล่าวจะถูกส่งต่อจากหน่วยสืบราชการลับไปยังเอฟบีไอ ที่ทำการไปรษณีย์ของสหรัฐอเมริกา และทนายความทั่วไปของแต่ละรัฐที่ได้รับผลกระทบ

สรุปแล้ว:

ทุก ๆ สองวัน ข้อมูลถูกสร้างขึ้นมากกว่าประวัติศาสตร์ที่เป็นลายลักษณ์อักษรทั้งหมดจนถึงปี พ.ศ. 2546 ข้อมูลส่วนใหญ่เป็นข้อมูลที่เป็นไปไม่ได้ที่จะจัดทำเป็นเอกสารอย่างถูกต้องจนกระทั่งช่วงทศวรรษที่ผ่านมาหรือประมาณนั้น และจนกระทั่งเมื่อไม่นานนี้เอง ก็ยังไม่สามารถจัดเก็บได้และไม่สามารถเคลื่อนย้ายได้ . มีการป้องกันเช่นกฎหมายเหล่านี้ เพื่อให้เราสามารถจำกัดข้อมูลนั้นไว้เฉพาะบุคคลที่มีจริยธรรม ผู้สามารถทำสิ่งที่ถูกต้องสำหรับผู้ป่วย ลูกค้า หรือความสัมพันธ์ใดๆ ก็ตาม เราได้ยินมาเสมอว่าฐานข้อมูลถูกละเมิด และตอนนี้คุณมีความคิดที่ดีขึ้นแล้วว่าจะเกิดอะไรขึ้นกับบริษัทที่อนุญาตให้ตัวเองถูกแฮ็ก และสิ่งที่พวกเขาควรทำเพื่อป้องกันไม่ให้เกิดขึ้น สบายใจได้เมื่อรู้ว่าคุณซึ่งเป็นผู้บริโภคนั้นปลอดภัยกว่าเพราะกฎเหล่านี้